Per 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp).
De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken. Maar voor de praktijk misschien nog wel veel belangrijker: de boetebevoegdheden van het CBP worden aanzienlijk uitgebreid. Vanaf 1 januari kan de Autoriteit persoonsgegevens voor overtreding van vrijwel alle verplichtingen uit de Wbp boetes uitdelen.
Niet alleen zijn de boetes fors, er wordt ook nog wel wat gevraagd van een organisatie. Als er een datalek is waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, dan moet dit worden gemeld bij het Cbp en in bepaalde gevallen ook bij de personen van wie de gegevens worden beheert. Dat vraagt dus om goede beveiliging, monitoring en incidentenbeheer. Bovendien moet een communicatieproces op gang worden gebracht als betrokkenen (van wie misschien net de gegevens kwijt zijn geraakt) geïnformeerd dienen te worden.
Betreft beveiliging is het van belang dat er een goed actieplan op de plank ligt, beveiliging is immers nooit 100% waterdicht. Daarentegen kunnen wel zoveel mogelijk maatregelen worden genomen om een lek te voorkomen.
Een goede methode om te voldoen aan deze nieuwe regulering is encryptie. Wanneer er een datalek ontstaat en aantoonbaar of bewezen is dat alle persoonlijke data versleuteld is, verkleint dit de kans op een boete aanzienlijk.
Vastlegging wie een lek meldt, wie er bij een lek geïnformeerd moet worden, welke acties ondernomen worden om een lek te dichten en wie deze verantwoordelijkheden draagt.
De uitbreiding van de boetebevoegdheid van het CBP ziet niet enkel op het melden datalekken, maar op alle plichten die uit de Wet bescherming persoonsgegevens volgen. De meldplicht is slechts één van deze plichten.
Geef een reactie